Stealth Soldier kampanyası, 2019’daki son operasyonundan bu yana “Nil’deki Göz” olarak bilinen bir tehdit aktörünün olası yeniden ortaya çıkışını işaret ediyor.
Check Point Research kısa süre önce Libya’da bir dizi yüksek hedefli casusluk saldırısını ortaya çıkardı ve Stealth Soldier adlı daha önce ifşa edilmemiş bir arka kapıya ışık tuttu. Bu gelişmiş kötü amaçlı yazılım, dosya hırsızlığı, ekran ve mikrofon kaydı, tuş vuruşu kaydı ve tarayıcı bilgilerini çalma gibi gözetim işlevlerine sahip özel bir modüler arka kapı olarak çalışır.
Libyalı örgütleri hedef alıyor gibi görünen kampanya, 2019’daki son operasyonundan bu yana “Nil’deki Göz” olarak bilinen bir tehdit aktörünün olası yeniden ortaya çıkışına işaret ediyor.
Sınırlı ve hedefli saldırılarda kullanılan bir implant olan Stealth Soldier, Şubat 2023’te derlenen en son sürüm olan Sürüm 9 ile aktif bakım göstermiştir. Check Point Research’ün araştırması, Kasım 2022 ile Ocak 2023 arasında VirusTotal’a gönderilen birden fazla dosyanın Libya.
“هام وعاجل.exe” (Önemli ve Acil.exe) ve “برقية 401.exe” (Telegram 401.exe) gibi Arapça adlara sahip bu dosyaların, Stealth Soldier kötü amaçlı yazılımının farklı sürümleri için indiriciler olduğu ortaya çıktı.
Stealth Soldier’ın uygulama akışı, enfeksiyon zincirini tetikleyen indirici ile başlar. İndiricinin teslim mekanizması bilinmemekle birlikte, sosyal mühendislikten şüpheleniliyor.
Kötü amaçlı yazılımın bulaşma süreci, yükleyici, bekçi ve yük dahil Komuta ve Kontrol (C&C) sunucusundan birden fazla dosya indirmeyi içerir. Bu bileşenler, kalıcılık oluşturmak ve gözetim işlevlerini yürütmek için birlikte çalışır.
İlk olarak yükleyici, PowerShell komutlarını etkinleştirmek ve kalıcılık oluşturmak için PowerPlus adlı dahili bir modülü indirir. Ardından, bekçi köpeği, yükleyicinin güncellenmiş sürümlerini düzenli olarak kontrol eder ve buna göre çalıştırır. Son olarak, yük veri toplar, C&C sunucusundan komutlar alır ve saldırganın talimatlarına göre çeşitli modülleri yürütür.
Stealth Soldier’ın yükü tarafından toplanan kurban bilgileri, ana bilgisayar adını, kullanıcı adını, sürücü listesini ve belirli dizinlerdeki dosyaları içerir. Kötü amaçlı yazılım, dizin listeleme, dosya yükleme, ekran görüntüsü yakalama, mikrofon kaydı, keylogging, tarayıcı kimlik bilgilerini çıkarma ve PowerShell komut yürütme dahil olmak üzere çeşitli komutları destekler.
Check Point Research, Stealth Soldier’ın üç farklı sürümünü (Sürüm 6, 8 ve 9) saptadı ve bunların her biri işlevsellikte, dosya adlarında ve kalıcılık mekanizmalarında küçük farklılıklar gösterdi.
Ek olarak, soruşturma, kampanyayla bağlantılı bir dizi kimlik avı alanı ortaya çıkardı ve bazıları Libya Dışişleri Bakanlığı’na ait web siteleri gibi göründü. Daha önceki kötü amaçlı etkinliklerle ilişkili IP adreslerinde barındırılan kimlik avı etki alanları, kimlik avı kampanyaları yürütme niyetinin yüksek olduğunu gösterdi.
Check Point Research ayrıca, bu son operasyon ile daha önce Uluslararası Af Örgütü ve Check Point Research tarafından devlet destekli kuruluşlarla bağlantılı olan “Eye on the Nile” kampanyası arasındaki benzerlikleri de keşfetti. Çakışan altyapı, iki kampanya arasında olası bir bağlantı olduğunu öne sürerek, arkalarındaki tehdit aktörünün kalıcılığını ve uyarlanabilirliğini gösterir.
Libyalı kuruluşları hedef alan Stealth Soldier kötü amaçlı yazılım kampanyası, siber casusluk operasyonlarının artan karmaşıklığının altını çiziyor. Özel arka kapıların ve gelişmiş gözetim özelliklerinin kullanımı, hedeflenen varlıkların veri güvenliği ve gizliliği için önemli tehditler oluşturur.
Stealth Soldier gibi gelişmiş tehditleri tespit etmek ve hafifletmek, gelişen siber tehditlere karşı esnek bir savunma sağlamak için proaktif tehdit istihbaratı, kullanıcı farkındalığı ve etkili güvenlik çözümlerinin bir kombinasyonunu gerektirir.
İLGİLİ MAKALELER
- Facebook, iOS ve Android kötü amaçlı yazılımları üzerinden hesapları kaldırır
- Worok Hacker’ları Asya, Orta Doğu ve Afrika’daki Kuruluşları ve Hükümetleri Vurdu
- Rusya, Suudi petro tesisini sabote etmek için Triton kötü amaçlı yazılımını kullandı